Sugerir tradução
 
Outras sugestões:

progress indicator
Sem sugestões.
TechNet Magazine > Home > Todas as edições > 2009 > TechNet Magazine Julho 2009 >  Segredos do Windows: Credenciais armazenadas em...
Exibir Conteúdo: Lado a LadoExibir Conteúdo: Lado a Lado
Este é um conteúdo traduzido por máquina que os membros da comunidade podem editar. Incentivamos você a melhorar a tradução clicando no link Editar associado a qualquer sentença abaixo.
Windows Confidential Cached Credentials
Raymond Chen


If you are logged on to your computer with a domain account, change your password (say from another computer), then lock your workstation, you can unlock it with your old password even though the password has been changed. Why is that?
When you log on, the Winlogon service remembers a hash of that password, and when you attempt to unlock a locked workstation, the password you enter is hashed and compared to the hash of the password you used to log on. If they match, then Winlogon proceeds to unlock the workstation, even though the password might be stale. This behavior is a network performance optimization to avoid inundating the domain controller with authentication requests. Most unlock operations are with the correct password, and avoiding the connection to the domain controller reduces network traffic and significantly improves performance over slow network connections.
But wait, does this mean that you can't lock users out of the network by changing their passwords?
No, you can still lock users out of the network by changing their passwords. The cached password hash is used only for accessing the local workstation. Once the user tries to access a network resource, that network resource will ask the domain controller, "Hey, is this really the guy he claims to be?" and the domain controller will reply, "Nice try."
But wait, does this mean that you can keep unlocking your workstation with a stale password and therefore bypass a password change on the domain controller and thereby keep using your workstation?
Well, yeah, but you could already do that: the trick is called don't lock your workstation in the first place. If you never lock your workstation, then it doesn't matter how the workstation unlocking algorithm works, because it never even runs!
If you would prefer that unlocking a workstation connect to the domain controller to verify that the password has not expired, then you can use the Group Policy Editor to enable the Require Domain Controller authentication to unlock workstation policy.
Note that this one-level password cache for unlocking a workstation is different from cached domain logon credentials. Cached credentials are used when a domain controller is not available to verify a password. Under those conditions, the password entered by the user is compared to the one stored in the cache, and if they match (or more accurately, if the hashes of the hashes match), then the logon is deemed to have succeeded. Whereas the cache for unlocking a workstation is a performance optimization to avoid contacting the domain controller (even though it is available), the credentials cache is a fallback used when the domain controller is unavailable entirely, but you still want to let users access local machine resources.
Cached credentials can be both a blessing and a curse, depending on what color glasses you're wearing. For laptop users, cached credentials are essential for logging on to the laptop when the computer is disconnected from the corporate network. Without them, laptops would just become paperweights when not in the office, which counteracts one of the reasons for having laptops in the first place.
On the other hand, cached credentials permit an offline attack on the information stored in the credential cache. If the laptop falls into unfriendly hands, an attacker can take all the time in the world to try to guess the user's password without your domain controller finding out. Mind you, the credential cache doesn't contain the passwords or even the hashes of the passwords, so a purported "cracked" password is only a probabilistic success (and you can tilt the odds in your favor by requiring strong passwords). Of course, a stolen laptop grants unrestricted physical access to the hacker, so the unencrypted information on the laptop itself is already compromised, password or no password. Even so, if the idea of cached credentials give you the heebie-jeebies (warranted or not), you can set the CachedLogonsCount to zero to disable them. If you combine this with Require Domain Controller authentication to unlock workstation policy, you've got the password caches turned off in both directions.

Raymond Chen's Web site, " The Old New Thing ," and identically titled book (Addison-Wesley, 2007) deal with Windows history, Win32 programming, and Krashen's Comprehensible Input Hypothesis.

Segredos do Windows Credenciais em cache
Raymond Chen


Se você tiver feito logon em seu computador com uma conta de domínio, alterado sua senha (digamos que de outro computador), e então sua estação de trabalho for bloqueada, você pode desbloqueá-lo com a senha antiga, mesmo que a senha tenha sido alterada. Como isso é possível?
Quando você faz logon, o serviço Winlogon lembra um hash da senha, e ao tentar desbloquear uma estação de trabalho bloqueada, a senha é hash e comparada ao hash da senha usada para fazer logon. Se corresponderem as enguias, o Winlogon desbloqueará uma estação de trabalho, mesmo que a senha for obsoleta. Esse comportamento é uma otimização de desempenho de rede para evitar consulta ao controlador de domínio com solicitações de autenticação. Desbloquear mais operações são com a senha correta e evitar a conexão com o controlador de domínio reduz o tráfego de rede e melhora significativamente o desempenho em conexões de rede lenta.
Mas espere, isso significa que você não pode bloquear usuários fora da rede, alterar suas senhas?
Não, você ainda pode bloquear usuários fora da rede, alterar suas senhas. O hash de senha armazenada em cache é usado somente para acessar a estação de trabalho local. Depois que o usuário tenta acessar um recurso de rede, esse recurso de rede irá solicitar o controlador de domínio, "Ei, é isso realmente o cara ele alega ser?" e o controlador de domínio será responder, "Boa tentativa."
Mas espere, isso significa que você pode manter desbloquear estação de trabalho com uma senha obsoleta e, portanto, ignorar uma senha alterar no controlador de domínio e, assim, manter usando sua estação de trabalho?
Bem, Sim, mas você pode fazer que já: o truque é chamado não bloquear sua estação de trabalho em primeiro lugar. Se você nunca bloqueie sua estação de trabalho, em seguida, não importa como funciona o algoritmo de desbloqueio de estação de trabalho, porque ele executa nunca mesmo!
Se você preferir que desbloquear uma estação de trabalho se conectar ao controlador de domínio para Certifique-se que a senha não tenha expirado e você pode usar o Editor de diretiva de grupo para ativar o Exigir autenticação de controlador de domínio para desbloquear a diretiva de estação de trabalho.
Observe que esse cache de nível de uma senha para desbloquear uma estação de trabalho é diferente de credenciais de logon de domínio em cache. Credenciais armazenadas em cache são usadas quando um controlador de domínio não está disponível para verificar uma senha. Nessas condições, a senha inserida pelo usuário é comparada ao que armazenados no cache, e se eles corresponderem (ou mais precisamente, se os hashes do hashes corresponderem), em seguida, o logon é considerado para ter êxito. Enquanto o cache para desbloquear uma estação de trabalho é uma otimização de desempenho para evitar a contatar o controlador de domínio (mesmo que ele esteja disponível), as credenciais de cache é um fallback usado quando o controlador de domínio é totalmente indisponível, mas você ainda deseja permitir que os usuários acessem recursos da máquina local.
Credenciais armazenadas em cache podem ser uma abençoada e um praguejar, dependendo do que óculos de cor que você estiver usando. Para usuários de laptop, credenciais armazenadas em cache são essenciais para fazer logon no laptop quando o computador é desconectado da rede corporativa. Sem eles, laptops apenas tornaria paperweights quando não está no escritório, que counteracts um dos motivos para ter laptops em primeiro lugar.
Por outro lado, as credenciais em cache permite que um ataque offline nas informações armazenadas no cache de credencial. Se o laptop cair em mãos unfriendly, um invasor pode assumir o tempo todo no mundo para tentar adivinhar a senha do usuário sem o seu controlador de domínio descobrir. Lembre-se você, o cache de credencial não contém as senhas ou até mesmo os hashes de senhas, para que uma senha "quebrada" suposta é apenas um sucesso probabilístico (e você pode inclinar as chances de seu favor exigindo senhas de alta segurança). Claro, um laptop roubado concede acesso físico irrestrito ao hacker, para que as informações não criptografadas no laptop próprio já for comprometidas, senha ou sem senha. Mesmo assim, se a idéia de credenciais em cache fornecer heebie-jeebies (garantidos ou não), você pode definir o CachedLogonsCount para zero para desativá-los. Se você combinar isso com autenticação de controlador de domínio exigir para desbloquear a diretiva de estação de trabalho, você tem os caches de senha desativados em ambas as direções.

Raymond Chen Site da Web " Old New Thing "e escreveu um livro (Addison-Wesley, 2007) homônimo lidar com a história do Windows, programação Win32 e hipótese do Krashen de entrada abrangente.

Page view tracker